выбор аппаратной защиты.

All Activity

Reply to this topic

faf

Posted March 26, 2013 (edited)

Доброго времени суток!

Подключение к глобальной паутине организовано следующим образом - приходит кабель(витая пара) от провайдера в неуправляемый коммутатор от него кабель в шлюз(в качестве ОС используется freebsd 7.3) через, который раздается интернет пользователям локальной сети. У провайдера нам выделен внешний ip-адрес, который присвоен шлюзу. На этом адресе на определенном порту развёрнут сервис, необходимый клиентам нашей организации. Сервис развёрнут в локальной сети, выходит через nat. Вчера наш внешний ip-адрес и конкретно порт, на котором базируется сервис начали "ддосить"(извините, если неправильно, не силён терминологии). Вообщем ситуация такова, что весь канал(4мбит/с) забивается не нужным трафиком и, как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно). Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят. На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика. Сменить ip-адрес или порт не представляется возможным в связи со спецификой сервиса(в ближайшие пять дней точно).

Подскажите, пожалуйста, аппаратное устройство(управляемый коммутатор, маршрутизатор), которое имело бы функцию защиты от ddos атак(хотя бы примитивную), с возможностью подключения нескольких провайдеров, администрирования через web, firewall(желательно без ограничений кол-ва правил), чтобы уже на нём я мог по определённым правилам отсекать часть трафика. Стоимость устройства в пределах 30 т.р.. Заранее благодарю.

Edited March 26, 2013 by faf

Share this post

Link to post

Share on other sites

ioann

Posted March 27, 2013

Думаю устройство Вам не поможет, т.к. канал все равно будет забиваться.

А это именно ДДОC - запросы идут с разных ip-адресов?

Share this post

Link to post

Share on other sites

dignity

Posted March 27, 2013

Если tcp и атака тупая - делайте tarpit(не знаю аналога в бсд)... а синкуки включены?

Share this post

Link to post

Share on other sites

triam

Posted March 27, 2013

Если нужно именно устройство, то смотрите на juniper srx функция называется screen, от элементарных атак сможет вас защитить. Конкретную модель можно выбрать исходя из производительности, которая вам необходима.

Share this post

Link to post

Share on other sites

dignity

Posted March 27, 2013

Машина не вывозит 4мбит? Шутите, это atom осилит даже...

Share this post

Link to post

Share on other sites

p9160ff

Posted March 27, 2013 (edited)

4 Мbit

Машина не вывозит 4мбит? Шутите, это atom осилит даже...

сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html

а вот и аппаратная защита для него http://yellowmarket.com.ua/product_details.php?item_id=68370

Edited March 27, 2013 by p9160ff

Share this post

Link to post

Share on other sites

ioann

Posted March 27, 2013

Вам топикстартер русским по белому написал

весь канал(4мбит/с) забивается не нужным трафиком

а вы сразу глумиться над серваком...

Читать научитесь!

Share this post

Link to post

Share on other sites

p9160ff

Posted March 27, 2013

На freebsd используется ipfw, но насколько я понимаю машина не справляется с таким объёмом трафика.

Читать научитесь!

сами научитесь

Share this post

Link to post

Share on other sites

sexst

Posted March 27, 2013

Бесполезно фильтровать то тчо уже пришло. Это ддос, ему ваши ответы/неответы побоку.

сервер наверное такой ? - http://ufa.mvideo.ru/products/153991.html

В общем-то можно и для восьмиядерного Xeon'a таких правил понаписать что он 4 мегабита не вытянет =)

Share this post

Link to post

Share on other sites

p9160ff

Posted March 27, 2013

как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно).

Как вариант: посадить клиентов на VPN и поставить Cisco SA520

Share this post

Link to post

Share on other sites

Andrei

Posted March 27, 2013

Общение с провайдером на предмет помощи от них не дало результатов - услуг по защите от ddos атак они не предоставляют, каким-то другим образом помочь(кроме предоставления серого ip - для нас не подходит) тоже не могут или не хотят.

ИМХО это самый правильный путь. Попробуйте поговорить еще раз. Закрыть трафик, идущий на вас с определенного ip, задача несложная. Может вас не так поняли?

Share this post

Link to post

Share on other sites

ioann

Posted March 28, 2013

как следствие нет доступа в интернет из локальной сети и нет возможности нашим клиентам подключиться к нашему сервису(что более важно).

Как вариант: посадить клиентов на VPN и поставить Cisco SA520

Поясните - как это решение разгрузит забитый канал? сервак?

Share this post

Link to post

Share on other sites

poseidon

Posted March 30, 2013

DoS/DoS какой?

- тип атаки?

- к-во соединений в секунду? сколько из них валидных, сколько от атакеров?

- адреса из которых идет атака изветны или постоянно меняются?

Любой Cisco firewall (pix, asa) имеет целую пачку встроенных и настраиваемых правил для защиты в тч и от DoS/DDoS.

Так например, настройка syn cookies и embrionic connections поможет от SYN-flood, half-SYN-flood; счетчики новых соединений от одного IP также могут помочь еще и от сканирования.

Вобщем, к вопросу надо подходить комплексно и для начала четко определить характер проблемы. От дос-ов универсальной защиты не бывает.

Share this post

Link to post

Share on other sites

vurd

Posted March 30, 2013

А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp.

Share this post

Link to post

Share on other sites

dignity

Posted March 31, 2013

А смысл? К ним УЖЕ льется весь поток трафика, который может пропустить канал. Защитить можно только уровнями выше, начиная непосредственно с isp.

ну эт смотря какой трафик. Если UDP - вы правы, если TCP, то даже TARPIT спасет, если только там не spoofing, если spoofing, то syncookie.

Share this post

Link to post

Share on other sites

mcnick

Posted March 31, 2013

А сколько юзеров в сетке у вас

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

Followers 0

Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

Sign In

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Share this post

Link to post

Share on other sites

Join the conversation